L'autenticazione Auth0 Passwordless è sicura?

Naviga le tue risposte
3

Vedo questo annuncio post medio sull'edilizia un'applicazione React con autenticazione senza password tramite Auth0.

dal link, ecco la spiegazione di come funziona:

Passwordless authentication, as the name might imply, is an authentication system where the user does not enter a password. Instead, they provide an identifier such as an email address or telephone number, and the authentication system sends out a one-time passcode or link to this identifier that the user must then provide or click to successfully authenticate. The passcode or link is active for a limited time, often around five minutes. Each login request generates a new passcode or link and invalidates any previous passcodes or links. In a sense, passwordless authentication also provides two-factor authentication out-of-the-box, since a user must have access to either the email account or phone number they provide.

Inoltre affermano che le password sono obsolete e non sicure perché le persone scelgono password deboli e le riutilizzano.

Ma qui si chiede Chi guarda i guardiani ?

Poiché il tuo account e-mail è protetto dai mezzi obsoleti e deboli di una password, il passcode o il collegamento non è affatto sicuro, vero? Qualcuno ha solo bisogno di rompere la tua e-mail e ottengono l'accesso alla tua applicazione con autenticazione Auth0.

Mi sbaglio?

    
posta Mario Trucco 18.07.2016 - 23:15
fonte

1 risposta

2

Fondamentalmente, questo tipo di autenticazione è strong quanto l'account di posta elettronica che l'utente sta utilizzando. Tuttavia, la stessa critica può essere addebitata a qualsiasi modello di autenticazione relegato - OpenID o OAUTH incluso. Tuttavia, ritengo che ne valga ancora la pena - sfruttando i servizi esistenti che gli utenti apprezzano, significa che non sono tentati di utilizzare password di rifiuto o ripetute / riutilizzate sul tuo sito. Rafforzerai il valore di quelle fonti di autenticazione centrale (in questo caso l'e-mail), e spero che ciò porterà gli utenti ad utilizzare un'autenticazione strong in questi casi.

Inoltre, l'autenticazione è difficile da fare correttamente - così tanti siti più piccoli (e anche quelli più grandi) lo incasinano. Passare a questo punto, sia tramite questo Auth0 o tramite più tradizionale OAuth o OpenID, è una grande idea. Non vedo nulla di fondamentalmente sbagliato nell'approccio token email.

    
risposta data 19.07.2016 - 20:21
fonte

Leggi altre domande sui tag

Un ticket Kerberos è valido solo con trust esterno unidirezionale tra domini? È sicuro affidarsi all'indirizzo e-mail di un provider di identità di terze parti?